CVE中文申请站

一、漏洞摘要

漏洞名称: Konke智能插座非授权访问管理接口漏洞
上报日期: 2014-10-29
漏洞发现者: gamehacker(gh@waloudong.org)&zixian(me@zixian.org)
产品首页: http://www.ikonke.com/
软件链接: http://www.ikonke.com/
版本: K
CVE编号: CVE-2014-7279


二、漏洞概述

“Konke”是来自中国的一款智能家居产品(http://www.ikonke.com/),该产品存在安全漏洞导致攻击者可以利用漏洞获取设备管理权限。
Konke智能插座加电启动后会打开23端口,攻击者可以直接使用telnet工具登录23端口,可以不用密码得到root权限。

三、利用代码

1、扫描Konke:可以使用nmap等工具对设备的23端口进行扫描;
2、连接设备:使用telnet连接Konke设备的23端口;
3、获得权限:连接成功即可获得root权限。
k.png
并可以看到设备使用openwrt系统架构,可以使用busybox等工具执行系统命令对设备进行进一步的控制。

四、参考信息

CVE中文申请网:http://www.iwantacve.cn/index.php/archives/18/
CVE官方:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7279
exploit-db:https://www.exploit-db.com/exploits/35103/

标签: none